McAfee E-Business Serverに脆弱性

「E-Business Server」の脆弱性を修正するアップデートが公開された。なお、Windows版は影響を受けないという。

[ITmedia]

　McAfeeの企業向けデータ暗号化ソフト「E-Business Server」に脆弱性が見つかり、アップデートが公開された。

　セキュリティ企業Secuniaのアドバイザリーによると、脆弱性は、E-Business Server 8.xの管理ユーティリティサービスで認証パケットを解析する際の整数オーバーフローに起因する。

　これを悪用すると、細工を施した認証パケットを使ってヒープベースのバッファオーバーフローを誘発させ、任意のコードを実行してシステムを制御することが可能になる。

　この問題は、Solaris版のE-Business Server 8.5.3と、Linux/HP-UX/AIX版のE-Business Server 8.1.2で修正されている。なお、Windows版は影響を受けない。

　リスク評価はSecuniaが5段階で中程度の「Moderately critical」、仏FrSIRTは4段階で最も高い「Critical」となっている。